Beslut om sanktionsavgift efter tillsyn enligt dataskyddsförordningen – Indecap AB

Written By Martin Orehag

Bakgrund

Indecap AB gjorde i januari 2021 ett mailutskick till sina ca 52 000 kunder. Utskicket skulle innehålla en PDF-fil, men av misstag bifogades i stället en excelfil innehållandes uppgifter om bland annat kunders namn, mailadress, personnummer, bank, risknivå, enskilt fondval och det senast inlästa värdet av kundens innehav i dessa fonder.

Indecap uppgav att aktuell kundinformation lagras i en skyddad databas, men att en av de fyra medarbetare med tillgång till kunduppgifterna exporterat informationen för bearbetning. I samband med exporten sparades filen bland filer med okänsligt innehåll och filen lösenordskyddades inte.

Vidare framgår av utredningen att Indecap har en informationssäkerhetspolicy och tillämpar processer och rutiner för att nå upp till kraven på dataskydd, dock medförde pandemin att vissa rutiner inte gått att upprätthålla vid arbete på distans.

IMY:s bedömning

Indecap ska inte bara enligt dataskyddsförordningen skydda personuppgifter, utan har enligt lagen om värdepappersmarknaden ett striktare ansvar att affärs- eller personförhållanden inte obehörigen röjs, samt tystnadsplikt.

Med hänsyn bland annat till att de uppgifter som Indecap behandlat har varit av skyddsvärd karaktär och berört ett mycket stort antal personer har Indecaps behandling av personuppgifterna sammantaget inneburit en hög risk för fysiska personers rättigheter och friheter. Behandlingens art, omfattning och sammanhang har därmed medfört ett krav på ett starkt skydd för uppgifterna.

IMY bedömer dessutom att det aktuella misstaget hade kunnat hindras eller i vart fall försvåras genom tydliga rutiner för att säkerställa att hanteringen av skyddsvärd information inte skulle sammanblandas med hanteringen av publik information. IMY anser att Indecap, särskilt med hänsyn till känsligheten i de uppgifter bolaget behandlar i sin kärnverksamhet, borde ha vidtagit andra åtgärder för att säkerställa en tillräcklig skyddsnivå för de aktuella uppgifterna när ordinarie skyddsåtgärder inte kunnat vidtas till följd av pandemin. Pandemin utgör således ingen skälig ursäkt för att göra avsteg från befintliga rutiner utan att ersätta dessa med annat likvärdigt skydd.

IMY konstaterar att risken för ett felaktigt utskick varit hög på grund av hanteringen av datamängden utanför databasen, samt att inga skydd i form av läsbegränsningar eller krypteringar funnits på filen. Sammantaget har Indecap inte vidtagit tillräckliga tekniska eller organisatoriska åtgärder i förhållande till risken. Därmed har Indecap behandlat personuppgifter i strid med artikel 32.1 i dataskyddsförordningen.

Sanktion

Överträdelsen är av medelhög allvarlighetsgrad och sanktionsavgift beräknad efter moderbolagets årsomsättning (efter avdragna rabatter till Pensionsmyndigheten) ska ligga till grund för sanktionen trots att det enbart var kunder inom ett av dotterbolaget som drabbats. Förmildrande omständigheter är att Indecap redan innan incidenten påbörjat införandet av säkrare alternativ för mailutskick, samt att Indecap omgående efter incidenten informerat de drabbade och bett mottagarna av det felaktiga utskicket att radera mailet.

IMY beslutade att bestämma sanktionsavgiften till 500 000 kr. 

Martin Orehag
Previous

Instant Payments -en ny provisorisk överenskommelse
Next

Ansvar och påföljder vid bristfällig insynsrapportering